Bei der Einführung der europäischen Datenschutzgrundverordnung (DSGVO) im Mai 2018, herrschte auch hierzulande grosse Hektik. Dies wird bei der Überarbeitung des Schweizer Datenschutzgesetzes (DSG) nicht anders sein. Aber Hand aufs Herz: Noch immer sind viele Unternehmen auf der Suche nach einem praktikablen Weg, um zu belegen, dass sie die geltenden Forderungen bezüglich Datenschutz einhalten. Wie sieht es bei Ihnen aus? Im August 2019 wurde mit ISO/IEC 27701 eine Norm für den Nachweis der Umsetzung datenschutzrechtlicher Vorschriften veröffentlicht. Ist dieser Standard die Lösung? Wir beleuchten dies in diesem Beitrag!
Betrachten Sie Datenschutz als Ergänzung zum ISMS
Zuallererst: ISO 27701? Nein, wir haben uns nicht vertippt. Es geht in diesem Beitrag nicht in erster Linie um den ISO/IEC 27001-Standard, sondern um ISO/IEC 27701. Aber worum geht es dabei? Die ISO/IEC 27701 legt die Anforderungen für die Einführung, Aufrechterhaltung und kontinuierliche Verbesserung eines PIMS (Privacy Information Management System) fest.
Basierend auf den Anforderungen der ISO/IEC 27001, enthält die Norm eine Reihe von datenschutzspezifischen Anforderungen, Kontrollen und Kontrollzielen. Man könnte somit sagen, dass die ISO/IEC 27001 «lediglich» um explizite Datenschutzaspekte erweitert wurde. Deshalb ist in der neuen Norm statt von «Informationssicherheit» von «Informationssicherheit und Datenschutz» die Rede. Aber das ist natürlich nicht alles – darüber hinaus gibt es eine Vielzahl von inhaltlichen Ergänzungen. So wird bei der Betrachtung des Kontextes des Unternehmens explizit der Einbezug relevanter Datenschutzgesetze sowie entsprechender gerichtlicher Entscheide verlangt. Auch im Rahmen der Risikobeurteilung sind Aspekte der Verarbeitung von personenbezogenen Daten zu berücksichtigen.
ISO/IEC 27701 orientiert sich stark an der DSGVO
Zusätzlich beinhaltet die ISO/IEC 27701-Norm Ergänzungen zu ISO/IEC 27002, die ja bekanntlich der Leitfaden zur Umsetzung von Massnahmen aus dem Anhang A von ISO/IEC 27001 ist. Das sind insbesondere folgende Ergänzungen:
- Erweiterungen der Richtlinien um Aspekte des Datenschutzes
- Ernennung eines Verantwortlichen für das «Privacy Information Management System»
- Datenschutz-Schulung der Mitarbeitenden (Mitarbeitersensibilisierung)
- Protokollierung von Zugriffen und Veränderungen
- Verschlüsselung von personenbezogenen Daten, z.B. Gesundheitsdaten
- Berücksichtigung des «Privacy by Design»-Grundsatzes
- Überprüfung von Sicherheitsvorfällen auf Datenschutzverletzungen
Die Beispiele haben einen starken Bezug zur DSGVO. Dies zeigt sich auch in den Anhängen der ISO/IEC 27701-Norm. Dort findet sich eine ausführliche Zuordnungstabelle1 der Massnahmen zu den Anforderungen der DSGVO. Die Massnahmen machen deutlich, welchen Einfluss die EU-Datenschutzgrundverordnung auf die Norm als internationalen Standard für den Datenschutz hatte.
ISO/IEC 27701 ist keine Zertifizierungsnorm
Die Artikel 42 und 43 der DSGVO regeln, unter welchen Voraussetzungen Zertifizierungen im Datenschutz zulässig sind und welche Anforderungen die Zertifizierungsstellen erfüllen müssen. Bei näherer Betrachtung des Artikels 43 ist ersichtlich, dass Datenschutz-Zertifizierungen nur auf Grundlage der ISO/IEC 17065 (Zertifizierung von Produkten und Prozessen) möglich sind. Somit sind Zertifizierungen von Datenschutz-Management-Systemen leider ausgeschlossen. Aber die Implementierung der ISO/IEC 27701 macht trotzdem Sinn, denn die Konformität ist für die Wirtschaft von grosser Bedeutung. Diese ist jedoch nicht nur für Marketingzwecke und somit als Wettbewerbsvorteil von Nutzen, sondern auch für eine verminderte Haftung des Unternehmens beziehungsweise der Geschäftsführung bei möglichen Verstössen und deren Ahndung durch die Aufsichtsbehörden.
Damit aber nicht genug: Nach Artikel 32 DSGVO sind Unternehmen verpflichtet, ein Managementsystem für die Verarbeitung von personenbezogenen Daten zu etablieren. Zur Effizienzsteigerung ist es dabei sinnvoll, ein Managementsystem für alle Informationen einzuführen – egal, ob personenbezogen oder nicht, digital oder in Papierform. Eine Datenschutz-Management-Plattform, beispielsweise die HiScout GRC Suite, leistet hier wertvolle Dienste und unterstützt Sie bei der Erfüllung Ihrer Dokumentationspflichten aus der DSGVO. Darüber hinaus können Sie auch Datenschutzfolgeabschätzungen durchführen, das Verarbeitungstätigkeitsverzeichnis pflegen sowie Berechtigungs- und Löschkonzepte erstellen. Eine solche Plattform ist die ideale Basis, um Ihr ISMS nach ISO/IEC 27001 zu pflegen und den nächsten Ausbauschritt zu einem PIMS nach ISO/IEC 27701 zu unterstützen.
ISO/IEC 27001-Zertifizierung als Basis
ISO/IEC 27001 legt die Anforderungen an ein Information Security Management System (ISMS) fest und ist ein risikobasierter Ansatz, der Menschen, Prozesse und Technologie umfasst. Eine unabhängige, akkreditierte Zertifizierung gibt den Beteiligten die Sicherheit, dass die Daten beim zertifizierten Unternehmen angemessen gesichert werden. Gleichzeitig können Unternehmen, welche ISO/IEC 27001 implementiert haben, ihr ISMS nutzen, um die Sicherheitsbemühungen auf das Datenschutzmanagement auszudehnen – einschliesslich der Verarbeitung personenbezogener Daten / PII (Personally Identifiable Information). Dies kann Unternehmen dabei unterstützen, nachzuweisen, dass angemessene Massnahmen zur Einhaltung von Datenschutzgesetzen wie der DSGVO/GDPR oder des DSG getroffen wurden.
Mit ISO/IEC 27701 auf dem richtigen Weg
Auch wenn die ISO/IEC 27701 keine «DSGVO-Zertifizierung» gemäss DSGVO ermöglicht, bietet sie dennoch die Möglichkeit, den Nachweis des DSGVO-konformen Umgangs mit personenbezogenen Daten zu erleichtern. Trotz der inhaltlichen Nähe zur ISO/IEC 27001, bedeutet die Einführung im Unternehmen einen Mehraufwand. Bei der Umsetzung kann zwar häufig auf Richtlinien, Prozesse und Dokumentationen zurückgegriffen werden, die bereits im Unternehmen vorhanden sind. Trotzdem gilt es, einige Stolpersteine zu beseitigen.
ISO/IEC 27701 nicht ohne ISO/IEC 27001
Leider enthält weder die DSGVO/GDPR noch die ISO/IEC 27701 Best-Practice-Empfehlungen, wie die Vorgaben umzusetzen sind. Damit soll natürlich verhindert werden, dass diese im Zuge der Entwicklung bewährter Verfahren und neuer Technologien veralten – aber hilfreich wären sie natürlich allemal.
Beide Normen sind aber trotzdem eng miteinander verbunden. So finden sich in den Kapiteln 5 und 6 der ISO/IEC 27701-Norm zahlreiche Anforderungen, welche auf ISO/IEC 27001/2 verweisen – teils direkt, teils mit bestimmten Abweichungen. So sollen beispielsweise Datenschutzrisiken auf die gleiche Weise behandelt werden wie Risiken der Informationssicherheit (Kapitel 5.4). Zudem sollen die Unterstützung einschliesslich Ressourcen und Kommunikation (5.5), die operativen Aspekte (5.6) sowie die Bewertung der Leistung (5.7) und die kontinuierliche Verbesserung (5.8) analog der Kapitel 7-10 der ISO/IEC 27001 Norm umgesetzt werden.
In Kapitel 6 der ISO/IEC 27701 werden zudem spezifische Datenschutzanforderungen zu den bestehenden Informationssicherheitskontrollen in ISO/IEC 27002 hinzugefügt. Zwei wesentliche Themen dabei sind:
- Der Schutz von Testdaten. Dabei sollen personenbezogene Daten nicht für Testzwecke verwendet werden (ISO/IEC 27002-Kontrolle 14.3.1).
- Das Management von Informationssicherheitsvorfällen. Hierbei sollen die internen Zuständigkeiten für das Management von sicherheitsrelevanten Vorfälle, welche zu Verletzungen von persönlichen Daten führen können, definiert werden (auf technischer Ebene; Benachrichtigung der Behörden; Benachrichtigung der betroffenen Personen).
Die Kapitel 7 und 8 enthalten Vorgaben für GDPR-Compliance-Prüfungen für die Verantwortlichen (Controller) und Verarbeiter (Processor) von personenbezogenen Daten. Dabei geht es um Themen wie:
- Gesetzliche Grundlage für die Verarbeitung personenbezogener Daten
- Verwaltung der Zustimmung
- Datenschutzfolgeabschätzungen (DPIA)
- Vereinbarungen zur Datenverarbeitung
- Erleichterung der Rechte der betroffenen Personen
- Umsetzung der Grundsätze des «Privacy by Design» und des «Privacy by Default»-Prinzips
- Datenexport in Drittländer
Diese Ergänzung der datenschutzbezogenen Anforderungen bilden dann auch die Grundlage für die Erweiterung des ISMS in ein Datenschutzmanagementsystem resp. des PIMS. Somit wird deutlich: Für Unternehmen, die bereits eine Struktur und Prozesse zur Unterstützung der Anforderungen der DSGVO haben, kann der Übergang zur Konformität mit ISO/IEC 27701 etwas einfacher sein. Es muss jedoch sichergestellt werden, dass die Prozesse effektiv in den Geltungsbereich des ISMS implementiert werden.
Fragen oder Unsicherheiten beim Thema Datenschutz?
Wir halten fest: Die ISO/IEC 27701 ist nicht der Befreiungsschlag, der den Nachweis der Einhaltung des Datenschutzes durch Vorlegen eines Zertifikats ermöglicht. Dennoch liefert die ISO/IEC 27701-Norm einen wichtigen Beitrag hin zu einem pragmatischen und effektiven Datenschutz. Dieser ist in Zeiten der Digitalisierung unerlässlich. Denn eine erfolgreiche Digitalisierung erfordert den Einbezug des Datenschutzes und ist somit ein strategisch wichtiges Thema – und zwar für jedes Unternehmen.
Die Umsetzung der Vorgaben des Schweizer Datenschutzgesetzes (DSG) und der europäischen Datenschutzgrundverordnung (DSGVO) ist jedoch eine Herausforderung, egal ob mit oder ohne ISO/IEC 27001 und ISO/IEC 27701. Holen Sie sich Unterstützung! Unsere Datenschutz-Experten bei InfoGuard unterstützen Sie in allen Belangen rund um diese Themen – von Fragestellungen rund um die Datenschutzvorgaben, der Analyse, Strategiedefinition und Konzeption über die Sensibilisierung bis hin zur Umsetzung.
1: Anhang D bildet die Bestimmungen der ISO/IEC 27701 im Vergleich zur Allgemeinen Datenschutzverordnung (GDPR) ab. Anhang E bildet die Bestimmungen der ISO/IEC 27701 gegen die ISO/IEC 27018 und die ISO/IEC 29151 ab. Anhang F enthält eine Anleitung zur Anwendung der ISO/IEC 27701 gegenüber der ISO/IEC 27001 und der ISO/IEC 27002.